ইউএফডাব্লু এর নিরীক্ষণ লগ এন্ট্রি বলতে কী বোঝায়?

11

আমি মাঝে মধ্যে এই অডিট লগ এন্ট্রি প্রচুর পেয়ে যাচ্ছি 

...

[UFW AUDIT] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW ALLOW] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW AUDIT] IN= OUT=lo SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=4319 DF PROTO=TCP SPT=59489 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0

...

এটার মানে কি? এগুলি কখন হয় এবং কেন হয়? আমি কি এই নির্দিষ্ট এন্ট্রিগুলি অক্ষম করতে পারি? আমি ইউএফডাব্লু লগিং অক্ষম করতে চাই না, তবে এই লাইনগুলি আদৌ কার্যকর কিনা তা আমি নিশ্চিত নই।

মনে রাখবেন যে এটি আসলে ঘটে না /var/log/ufw.log। এটি শুধুমাত্র মধ্যে ঘটে /var/log/syslog। কেন এই ক্ষেত্রে?

অধিক তথ্য

  • আমার লগিং মাঝারিতে সেট করা হয়েছে: Logging: on (medium)
firewall  logging  ufw 
টম
সূত্র

উত্তর:

3

বার্তাগুলি lowসরাতে আপনার লগিং সেট AUDITকরুন।

অডিটির উদ্দেশ্য (আমি যা দেখছি তা থেকে) অ-ডিফল্ট / প্রস্তাবিত লগিংয়ের সাথে সম্পর্কিত - তবে এটি একটি অনুমান এবং এটির সাথে আমি কোনও কংক্রিট খুঁজে পাচ্ছি না বলে মনে হয়।

jrg
সূত্র
লগের স্তরটি বিকল্প মেনুতে রয়েছে।
MUY বেলজিয়াম
@ মিউইবেলজিয়াম কোন সরঞ্জামটির মেনু অপশন?
জুন 28:58
9

যে লাইনের উপর নির্ভর করে। সাধারণত এটি ক্ষেত্র = মান is

সবে রিলেড হওয়া প্যাকেটের জন্য IN, OUT, ইনগোয়িং ইন্টারফেস বা আউটগোয়িং (বা উভয়ই) রয়েছে।

এর মধ্যে কয়েকটি হ'ল:

  • পরিষেবার ধরণের জন্য টিওএস ,
  • ডিএসটি হ'ল গন্তব্য আইপি,
  • এসআরসি হ'ল সোর্স আইপি
  • টিটিএল বেঁচে থাকার সময়, প্রতিটি প্যাকেট অন্য রাউটারের মধ্য দিয়ে যাওয়ার সময় একটি ছোট কাউন্টার হ্রাস পায় (সুতরাং যদি কোনও লুপ থাকে তবে প্যাকেজটি একবারে 0 থেকে নিজেকে ধ্বংস করে দেয়)
  • ডিএফ হ'ল বিভক্ত না "বিট, পাঠানোর সময় টুকরো টুকরো না হওয়ার জন্য প্যাকেটটি করতে বলছে
  • প্রোটো হ'ল প্রোটোকল (বেশিরভাগ টিসিপি এবং ইউডিপি)
  • এসপিটি হ'ল সোর্স বন্দর
  • ডিপিটি হ'ল গন্তব্য বন্দর

প্রভৃতি

আপনার টিসিপি / ইউডিপি / আইপি ডকুমেন্টেশনগুলিতে একবার নজর দেওয়া উচিত, যেখানে সবকিছুই আরও বিশদভাবে ব্যাখ্যা করা হয় যে আমি কখনই করতে পারি।

প্রথমটি নেওয়া যাক, এর অর্থ 176.58.105.134 1943 1948888-র জন্য 123 বন্দরটিতে একটি ইউডিপি প্যাকেট প্রেরণ করেছে। যে জন্য এর ntp। সুতরাং আমি অনুমান করি যে কেউ আপনার কম্পিউটারকে একটি এনটিপি সার্ভার হিসাবে ব্যবহার করার চেষ্টা করছেন, সম্ভবত ত্রুটি দ্বারা।

অন্য লাইনের জন্য, এটি কৌতূহলী, এটি লুপব্যাক ইন্টারফেসের (লু) ট্র্যাফিক, অর্থাৎ এটি কোথাও যাচ্ছে না, এটি চলে এবং আপনার কম্পিউটার থেকে আসে।

টিসিপি পোর্ট 30002 এর সাথে lsofবা এর সাথে কিছু শুনছে কিনা তা আমি খতিয়ে দেখব netstat

বিবিধ
সূত্র
ধন্যবাদ. পোর্ট 30002 একটি মংডোব আরবিটার চলছে। ntpযদিও আমি কিছু জানি না , আমার কি চিন্তিত হওয়া উচিত?
টম
না। এনটিপি কেবল সময় নির্ধারণ করার জন্য, আপনি সম্ভবত জেনেও ইতিমধ্যে ব্যবহার করেছেন (যখন আপনি জিনোমে "সময় সিঙ্ক করার জন্য নেটওয়ার্ক ব্যবহার করেন", এটি এনটিপি ব্যবহার করে)। এটি কেবলমাত্র একটি নেটওয়ার্ক জুড়ে সময় সিঙ্ক করে। হয়তো আইপিটি এনটিপি নেটওয়ার্কের (পুল. ntp.org/fr ) গ্লোবাল পুলের অংশ ছিল , তাই ইন্টারনেটে কারও কাছ থেকে অনুরোধ?
মিস্ক
2

যা বলা হয়েছে তার শীর্ষে, iptables বিধিগুলি পরিদর্শন করে লগ ইন করা হতে পারে তা নির্ধারণ করাও সম্ভব । বিশেষত লগ করা হচ্ছে মেলানো নিয়মগুলি এইভাবে ফিল্টার করা যেতে পারে sudo iptables -L | grep -i "log":

ufw-before-logging-input  all  --  anywhere             anywhere
ufw-after-logging-input  all  --  anywhere             anywhere
ufw-before-logging-forward  all  --  anywhere             anywhere
ufw-after-logging-forward  all  --  anywhere             anywhere
ufw-before-logging-output  all  --  anywhere             anywhere
ufw-after-logging-output  all  --  anywhere             anywhere
Chain ufw-after-logging-forward (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-after-logging-input (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-after-logging-output (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
ufw-logging-deny  all  --  anywhere             anywhere             ctstate INVALID
Chain ufw-before-logging-forward (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-input (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-output (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-logging-allow (0 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-logging-deny (2 references)
LOG        all  --  anywhere             anywhere             ctstate INVALID limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT INVALID] "
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
ufw-logging-deny  all  --  anywhere             anywhere             limit: avg 3/min burst 10
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 5 LOG level warning prefix "[UFW LIMIT BLOCK] "
Chain ufw-user-logging-forward (0 references)
Chain ufw-user-logging-input (0 references)
Chain ufw-user-logging-output (1 references)

সেগুলি বেশিরভাগ অংশের ডিফল্ট নিয়মের জন্য। উপরের আউটপুটটি পরিদর্শন ufw-before-*করা [ইউএফডাব্লু অডিট ..] লগগুলি তৈরি করার চেইনগুলি প্রকাশ করে ।

আমি আইপটবেলে কোনও বড় বিশেষজ্ঞ নই এবং ইউএফডাব্লু ম্যানুয়ালটি এটিতে খুব বেশি সহায়ক নয় তবে যতদূর আমি এই চেইনের সাথে মেলে এমন নিয়মগুলি /etc/ufw/before.rules এ বসে বলতে পারি

উদাহরণস্বরূপ নীচের লাইনগুলি লুপব্যাক সংযোগগুলিকে মঞ্জুরি দিচ্ছে যা আপনার লগের সর্বশেষ দুটি উদাহরণ লাইনের সূত্রপাত করেছে ([ইউএফডাব্লু অডিট] ইন = লো দিয়ে শুরু হওয়া)

# rules.before
# ....
# allow all on loopback
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT
# ....

আমার অংশ হিসাবে, আমি পোর্ট 5353 তে প্রচুর লগড এলএলএমএনআর প্যাকেট পাই :

Mar 17 21:02:21 pc kernel: [133419.183616] [UFW AUDIT] IN=wlp2s0 OUT= MAC= SRC=192.168.1.2 DST=224.0.0.251 LEN=146 TOS=0x00 PREC=0x00 TTL=255 ID=22456 DF PROTO=UDP SPT=5353 DPT=5353 LEN=126

যা আমি মনে করি নিম্নলিখিতগুলির কারণে এইগুলি ঘটে rules.before:

# allow MULTICAST mDNS for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT

এগুলিকে নিষ্ক্রিয় করার একটি উপায় হ'ল নিম্নলিখিতগুলি সরিয়ে ফেলা:

sudo ufw deny 5353
সেবাস্তিয়ান মুলার
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.